Newsletter abonnieren

Quishing – Betrug mit QR-Codes

Quishing ist eine spezielle Form des Betruges, bei der QR-Codes genutzt werden, um Opfer auf betrügerische Websites zu leiten oder sie dazu zu bringen, sensible Daten – wie z.B. Bankdaten – preiszugeben. Der Begriff setzt sich aus den Wörtern „QR“ (Quick Response) und „Phishing“ zusammen.

Wie funktioniert Quishing?

Bei einem Quishing-Angriff wird ein QR-Code verbreitet, der auf den ersten Blick harmlos wirkt, aber den Benutzer auf eine manipulierte Webseite umleitet. Das Ziel entspricht dem der klassischen Phishing-Methoden:

  • Abgreifen von Zugangsdaten (Login), z. B. zu E-Mails, Cloud-Diensten oder Bankkonten.
  • Download von Malware auf das Gerät des Nutzers.

Warum ist Quishing so gefährlich?

Die besondere Gefahr dieser Betrugsvariante besteht darin, dass die Nutzer vor dem Scannen nicht direkt sehen können, wohin der QR-Code führt. Auf den ersten Blick wirken QR-Codes unbedenklich. Hinzu kommt, dass Mobilgeräte meist weniger geschützt sind als PCs.

Bekannte Varianten

Es hat bereits Fälle gegeben, in denen Kriminelle vermeintliche Schreiben von Banken mit manipulierten QR-Codes per Briefpost versendet haben. Auffällig ist hierbei, dass man meist nicht mit dem Namen, sondern mit einer allgemeinen Anrede, wie beispielsweise mit „Sehr geehrte Kontoinhaberin“ angesprochen wird.

Weiterhin bekannt ist das Überkleben aufgedruckter QR-Codes an Ladesäulen für E-Autos, die auf schadhafte Webseiten führen. Wenn der Ladevorgang dann per QR-Code bezahlt werden soll, können die Kriminellen Kontodaten abfangen.

Auch aufgetreten sind gefälschte Strafzettel an Autos. In einigen Gemeinden und Städten ist es möglich, Strafzettel direkt über einen QR-Code zu bezahlen. Prüfen Sie also vorher genau, ob der Strafzettel echt ist.

An öffentlichen Orten verteilte Bitcoin-Paper-Wallets sind eine weitere Masche der Täter. Dabei handelt es sich um Zettel in kleinen Tüten, die den Eindruck vermitteln, dass man durch das Scannen des QR-Codes einen hohen Bitcoin-Wert gewinnt. Um den Betrag zu erhalten, sollen auf einer manipulierten Website die eigenen Kontodaten preisgegeben werden.

Wie kann man sich schützen?

  • Vorsicht bei unbekannten QR-Codes: Besonders bei E-Mails oder unbekannten Quellen sollten QR-Codes kritisch hinterfragt werden.
  • Automatischen Aufruf blockieren: Deaktivieren Sie am Smartphone das automatische Öffnen von Websites per QR-Codes
  • Vorsicht bei allgemeinen Formulierungen: Seien Sie aufmerksam, wenn nur eine allgemeine Anrede wie z.B. „Sehr geehrter Kunde“ verwendet wird.
  • QR-Code-Scanner mit Vorschau: Es gibt Apps, die den Ziel-Link anzeigen, bevor er geöffnet wird. Befindet sich die Quelle im Ausland, kann das ein Hinweis auf einen manipulierten QR-Code sein (z.B. ".ru").
  • Nutzung seriöser Apps: Manche offiziellen QR-Scanner und Zahlungsapps bieten Schutzmechanismen gegen verdächtige Links.
  • Keine überklebten QR-Codes: Scannen Sie keine überklebten QR-Codes. Bei Ladesäulen besser den Code des Displays, eine App oder Ladekarte nutzen.
  • Keine QR-Codes in E-Mails scannen: Offizielle Organisationen verschicken keine QR-Codes zur Verifizierung oder Anmeldung. Im Zweifel bei der eigenen Bank etc. besser einmal mehr nachfragen als einmal zu wenig.
  • Regelmäßige Software-Updates: Damit Sicherheitslücken auf Mobilgeräten geschlossen bleiben.

Quellen

Verbraucherzentrale Niedersachsen | Betrug mit QR-Codes Quishing: So schützen Sie sich
Anwalt.de | QR-Code Phishing bei der Commerzbank: Vorsicht vor gefälschten Bankschreiben! (Update 02.09.2024)